ISO

La Organización Internacional para la Estandarización o ISO (en inglés,

International Organization for Standardization), es el organismo encargado de
promover el desarrollo de normas internacionales de fabricación, comercio y
comunicación para todas las ramas industriales a excepción de la eléctrica y la
electrónica.

Su función principal es la de buscar la estandarización de normas de productos

y seguridad para las empresas u organizaciones a nivel internacional.

Las normas desarrolladas por ISO son voluntarias, comprendiendo que ISO es
un organismo no gubernamental y no depende de ningún otro organismo
internacional, por lo tanto, no tiene autoridad para imponer sus normas a
ningún país.

Estructura de la organización

La Organización ISO está compuesta por tres tipos de miembros:

Miembros natos, uno por país, recayendo la representación en el organismo

nacional más representativo.

Miembros correspondientes, de los organismos de países en vías de desarrollo

y que todavía no poseen un comité nacional de normalización. No toman parte
activa en el proceso de normalización pero están puntualmente informados
acerca de los trabajos que les interesen.

Miembros suscritos, países con reducidas economías a los que se les exige el
pago de tasas menores que a los correspondientes.

Comercio electrónico

✔ ISO/IEC 27001 — Sistema de Gestión de Seguridad de la Información

Introducción
El estándar para la seguridad de la información ISO/IEC 27001
(Information technology - Security techniques - Information security
management systems - Requirements) fue aprobado y publicado como
estándar internacional en Octubre de 2005 por International
Organization for Standardization y por la comisión International
Electrotechnical Commission.
Especifica los requisitos necesarios para establecer, implantar, mantener
y mejorar un Sistema de Gestión de la Seguridad de la Información
(SGSI) según el conocido “Ciclo de Deming”: PDCA - acrónimo de Plan,
Do, Check, Act (Planificar, Hacer, Verificar, Actuar). Es consistente con
las mejores prácticas descritas en ISO/IEC 17799 (actual ISO/IEC 27002)
y tiene su origen en la revisión de la norma británica British Standard BS
7799-2:2002.
Evolución en España
En España existe desde 2004 la publicación nacional UNE 71502 titulada
Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI) y que fue elaborada por el comité técnico AEN/CTN
71. Es una adaptación nacional de la norma británica British Standard BS
7799-2:2002.
Con la publicación de UNE-ISO/IEC 27001 (traducción al español del
original inglés, prevista para 2007), dejará de estar vigente la UNE
71502 y es de suponer que las empresas nacionales certificadas en esta
última pasen progresivamente sus certificaciones a UNE-ISO/IEC 27001.
Implantación
La implantación de ISO/IEC 27001 en una organización es un proyecto
que suele tener una duración entre 6 y 12 meses, dependiendo del
grado de madurez en seguridad de la información y el alcance,
entendiendo por alcance el ámbito de la organización que va a estar
sometido al Sistema de Gestión de Seguridad de la Información ( en
adelante SGSI) elegido. En general, es recomendable la ayuda de
consultores externos.
Aquellas organizaciones que hayan adecuado previamente de forma
rigurosa sus sistemas de información y sus procesos de trabajo a las
exigencias de las normativas legales de protección de datos (p.ej., en
España la conocida LOPD y sus normas de desarrollo, siendo el más
importante el Real Decreto 1720/2007, de 21 de Diciembre de
desarrollo de la Ley Orgánica de Protección de Datos) o que
hayan realizado un acercamiento progresivo a la seguridad de la
información mediante la aplicación de las buenas prácticas de ISO/IEC
27002, partirán de una posición más ventajosa a la hora de implantar
ISO/IEC 27001.
El equipo de proyecto de implantación debe estar formado por
representantes de todas las áreas de la organización que se vean
afectadas por el SGSI, liderado por la dirección y asesorado por
consultores externos especializados en seguridad informática, derecho
de las nuevas tecnologías, protección de datos y sistemas de gestión.
Certificación
La certificación de un SGSI es un proceso mediante el cual una entidad
de certificación externa, independiente y acreditada audita el sistema,
determinando su conformidad con ISO/IEC 27001, su grado de
implantación real y su eficacia y, en caso positivo, emite el
correspondiente certificado.
Antes de la publicación del estándar ISO 27001, las organizaciones
interesadas eran certificadas según el estándar británico BS 7799-2.
 Desde finales de 2005, las organizaciones ya pueden obtener la
certificación ISO/IEC 27001 en su primera certificación con éxito o
mediante su recertificación trienal, puesto que la certificación BS 7799-2
ha quedado reemplazada.
El Anexo C de la norma muestra las correspondencias del Sistema de
Gestión de la Seguridad de la Información (SGSI) con el Sistema de
Gestión de la Calidad según ISO 9001:2000 y con el Sistema de Gestión
Medio Ambiental según ISO 14001:2004 (ver ISO 14000), hasta el punto
de poder llegar a certificar una organización en varias normas y en base
a un sistema de gestión común.

La Serie 27000
La seguridad de la información tiene asignada la serie 27000 dentro de
los estándares ISO/IEC:
• ISO 27000: Actualmente en fase de desarrollo. Contendrá términos y
definiciones que se emplean en toda la serie 27000.
• UNE-ISO/IEC 27001:2007 “Sistemas de Gestión de la Seguridad de la
Información (SGSI). Requisitos”. Fecha de la de la versión española 29
Noviembre de 2007. Es la norma principal de requisitos de un Sistema de
Gestión de Seguridad de la Información. Los SGSIs deberán ser
certificados por auditores externos a las organizaciones. En su Anexo A,
contempla una lista con los objetivos de control y controles que
desarrolla la ISO 27002 (anteriormente denominada ISO17799).
• ISO 27002: (anteriormente denominada ISO17799).Guía de buenas
prácticas que describe los objetivos de control y controles
recomendables en cuanto a seguridad de la información con 11
dominios, 39 objetivos de control y 133 controles.
• ISO 27003: En fase de desarrollo; probable publicación en 2009.
Contendrá una guía de implementación de SGSI e información acerca del
uso del modelo PDCA y de los requisitos de sus diferentes fases. Tiene su
origen en el anexo B de la norma BS 7799-2 y en la serie de documentos
publicados por BSI a lo largo de los años con recomendaciones y guías
de implantación.
• ISO 27004: En fase de desarrollo; probable publicación en 2008.
Especificará las métricas y las técnicas de medida aplicables para
determinar la eficiencia y eficacia de la implantación de un SGSI y de los
controles relacionados.
• ISO 27005: Publicada en Junio de 2008. Consiste en una guía para la
gestión del riesgo de la seguridad de la información y sirve, por tanto, de
apoyo a la ISO 27001 y a la implantación de un SGSI. Incluye partes de
la ISO 13335.
• ISO 27006: Publicada en Febrero de 2007. Especifica los requisitos para
acreditación de entidades de auditoría y certificación de sistemas de
gestión de seguridad de la información.

✔ ISO/IEC 20000 — Tecnología de la información. Gestión del servicio

ISO/IEC 20000 SERIES

La serie ISO/IEC 20000 - Service Management normalizada y
publicada por las organizaciones ISO (International Organization for
Standardization) e IEC (International Electrotechnical Commission) el 14
de Diciembre de 2005, es el estándar reconocido internacionalmente en
gestión de servicios de TI (Tecnologías de la Información). La serie 20000
proviene de la adopción de la serie BS 15000 desarrollada por la entidad
de normalización y certificación británica BSI - British Standard Institute
El estándar se organiza en dos partes:
• Parte 1: ISO/IEC 20000-1:2005 - Especificación. (Preparada por BSI
como BS 15000-1)
• Parte 2: ISO/IEC 20000-2:2005 - Código de Prácticas. (Preparada por BSI
como BS 15000-2)
La primera parte (Especificación) define los requerimientos (217)
necesarios para realizar una entrega de servicios de TI alineados con las
necesidades del negocio, con calidad y valor añadido para los clientes,
asegurando una optimización de los costes y garantizando la seguridad
de la entrega en todo momento. El cumplimiento de esta parte,
garantiza además, que se está realizando un ciclo de mejora contínuo en
la gestión de servicios de TI. La especificación supone un completo
sistema de gestión (organizado según ISO 9001) basado en procesos de
gestión de servicio, políticas, objetivos y controles. El marco de procesos
diseñado se organiza en base a los siguientes bloques:
• Grupo de procesos de Provisión del Servicio.
• Grupo de procesos de Control.
• Grupo de procesos de Entrega.
• Grupo de procesos de Resolución.
• Grupo de procesos de Relaciones.

La segunda parte (Código de Prácticas) representa el conjunto de

mejores prácticas adoptadas y aceptadas por la industria en materia de
Gestión de Servicio de TI. Está basada en el estándar "de facto" ITIL
(Biblioteca de Infraestructura de TI) y sirve como guía y soporte en el
establecimiento de acciones de mejora en el servicio o preparación de
auditorías contra el estándar ISO/IEC 20000-1:2005.
Certificación
 La aparición de la serie ISO/IEC 20000, ha supuesto el primer sistema de
gestión en servicio de TI certificable bajo norma reconocida a nivel
mundial. Hasta ahora, las organizaciones podían optar por aplicar el
conjunto de mejoras prácticas dictadas por ITIL (completadas por otros
estándares como CMMI o CoBIT) o certificar su gestión contra el estándar
local británico BS 15000. La parte 1 de la serie, ISO/IEC 20000-1:2005
representa el estándar certificable. En Febrero de 2006, AENOR
(organización delegada en España de ISO/IEC) inició el mecanismo de
adopción y conversión de la norma ISO/IEC 20000 a norma UNE. El
viernes 23 de Junio de 2006, la organización itSMF ([1]) hace entrega a
AENOR de la versión traducida de la norma. En el BOE del 25 de julio de
2007 ambas partes se ratificaron como normas españolas con las
siguientes referencias:
• UNE-ISO/IEC 20000-1:2007 Tecnología de la información. Gestión del
servicio. Parte 1: Especificaciones (ISO/IEC 20000-1:2005).
• UNE-ISO/IEC 20000-2:2007 Tecnología de la información. Gestión del
servicio. Parte 2: Código de buenas prácticas (ISO 20000-2:2005).
Estas normas pueden adquirirse a través del portal web de AENOR.
Cualquier entidad puede solicitar la certificación respecto a esas normas.

✔ ISO/IEC 12207 — Tecnología de la información / Ciclo de vida del

software

Introducción
ISO/IEC 12207 establece un proceso de ciclo de vida para el software
que incluye procesos y actividades que se aplican desde la definición de
requisitos, pasando por la adquisición y configuración de los servicios del
sistema, hasta la finalización de su uso. Este estándar tiene como
objetivo principal proporcionar una estructura común para que
compradores, proveedores, desarrolladores, personal de mantenimiento,
operadores, gestores y técnicos involucrados en el desarrollo de software
usen un lenguaje común. Este lenguaje común se establece en forma de
procesos bien definidos....
Estructura
La estructura del estándar ha sido concebida de manera flexible y
modular de manera que pueda ser adaptada a las necesidades de
cualquiera que lo use. Para conseguirlo, el estándar se basa en dos
principios fundamentales: Modularidad y responsabilidad. Con la
modularidad se pretende conseguir procesos con un mínimo
acoplamiento y una máxima cohesión. En cuanto a la responsabilidad, se
busca establecer un responsable para cada proceso, facilitando la
aplicación del estándar en proyectos en los que pueden existir distintas
personas u organizaciones involucradas.
 Procesos
Los procesos se clasifican en tres tipos: Principales, de soporte y de la
organización. Los procesos de soporte y de organización deben existir
independientemente de la organización y del proyecto ejecutado. Los
procesos principales se instancian de acuerdo con la situación particular.
• Procesos principales.
○ Adquisición.
○ Suministro.
○ Desarrollo.
○ Explotación.
○ Mantenimiento.
• Procesos de soporte.
○ Documentación
○ Gestión de la configuración.
○ Aseguramiento de calidad.
○ Verificación.
○ Validación.
○ Revisión conjunta.
○ Auditoría.
○ Resolución de problemas.
• Procesos de la organización.
○ Gestión.
○ Infraestructura.
○ Mejora.
○ Formación.